Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleLes tactiques de
mouvement latéral (
mouvement latéral - mouvement latéral, latéral, horizontal ) comprennent des méthodes permettant à l'ennemi d'accéder et de contrôler les systèmes distants connectés au réseau attaqué, ainsi que, dans certains cas, de lancer des outils malveillants sur des systèmes distants connectés. au réseau attaqué. Le mouvement latéral du réseau permet à un attaquant d'obtenir des informations à partir de systèmes distants sans utiliser d'outils supplémentaires, tels que des utilitaires d'accès à distance (RAT).
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK .Système: macOS
Droits: utilisateur
Description: le langage AppleScript offre la possibilité de travailler avec Apple Event - messages échangés entre les applications dans le cadre de la communication interprocessus (IPC). En utilisant Apple Event, vous pouvez interagir avec presque toutes les applications ouvertes localement ou à distance, déclencher des événements tels que l'ouverture de fenêtres et la pression de touches. Les scripts sont exécutés à l'aide de la commande:
Osascript -e [] .
Les attaquants peuvent utiliser AppleScript pour ouvrir secrètement des connexions SSH à des hôtes distants, donnant ainsi aux utilisateurs de fausses dialogues. AppleScript peut également être utilisé dans des types d'attaques plus courants, tels que les organisations Reverse Shell.
Recommandations de protection: vérification obligatoire des scripts AppleScript en cours d'exécution pour la signature d'un développeur de confiance.
Système: Windows, Linux, macOS
Description: les outils de déploiement d'applications utilisés par les administrateurs réseau d'entreprise peuvent être utilisés par des utilisateurs malveillants pour installer des applications malveillantes. Les autorisations requises pour effectuer ces étapes dépendent de la configuration du système: certaines informations d'identification de domaine peuvent être requises pour accéder au serveur d'installation de logiciels, et les privilèges locaux peuvent être suffisants, cependant, un compte administrateur peut être requis pour accéder au système d'installation des applications et démarrer le processus de déploiement système. L'accès à un système d'installation d'applications d'entreprise centralisé permet à un adversaire d'exécuter du code à distance dans tous les systèmes du réseau attaqué. Un tel accès peut être utilisé pour se déplacer dans le réseau, collecter des informations ou provoquer un effet spécifique, par exemple, le nettoyage des disques durs sur tous les hôtes.
Recommandations de sécurité: n'autorisez qu'un nombre limité d'administrateurs autorisés à accéder aux systèmes de déploiement d'applications. Fournissez une isolation fiable et limitez l'accès aux systèmes réseau critiques à l'aide de pare-feu, limitez les privilèges de compte, configurez les stratégies de sécurité de groupe et l'authentification multifacteur. Assurez-vous que les données des comptes qui ont accès au système de déploiement de logiciels sont uniques et ne sont pas utilisées sur tout le réseau. Installez régulièrement des correctifs et des mises à jour sur les systèmes d'installation des applications pour les empêcher d'obtenir un accès à distance non autorisé grâce à l'exploitation des vulnérabilités. Si le système d'installation d'application est configuré pour distribuer uniquement des fichiers binaires signés, assurez-vous que les certificats de signature approuvés n'y sont pas placés, mais sont stockés sur un système inaccessible ou limité et contrôlé à distance.
Système: Windows
Droits: administrateur, système
Description: DCOM est un protocole qui étend les fonctionnalités du Component Object Model (COM), permettant aux composants logiciels d'interagir non seulement au sein du système local, mais également sur le réseau, en utilisant la technologie RPC (Remote Procedure Call), avec les composants d'application d'autres systèmes. COM est un composant de l'API Windows. Via COM, un objet client peut appeler une méthode d'objet serveur, généralement des DLL ou des fichiers .exe. Les autorisations d'interagir avec un objet COM de serveur local ou distant sont définies à l'aide d'ACL dans le Registre. Par défaut, seuls les administrateurs peuvent activer et exécuter à distance des objets COM via DCOM.
Les ennemis peuvent utiliser DCOM pour se déplacer latéralement sur le réseau. Grâce à DCOM, un attaquant travaillant dans le contexte d'un utilisateur disposant des privilèges appropriés peut exécuter à distance du code arbitraire via des applications Office et d'autres objets Windows contenant des méthodes non sécurisées. DCOM peut également exécuter des macros dans des documents existants, ainsi qu'appeler Dynamic Data Exchange (DDE) directement via un objet COM créé dans Microsoft Office, sans passer par la nécessité de créer un document malveillant. DCOM peut également fournir à un adversaire des fonctionnalités qui peuvent être utilisées à d'autres étapes de l'attaque, telles qu'une élévation de privilèges ou un épinglage d'accès.
Recommandations de protection: à l' aide du registre, configurez les paramètres de sécurité individuels pour les applications COM: code> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Envisagez de désactiver la prise en charge DCOM à l'aide de l'utilitaire
dcomcnfg.exe ou dans le registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:NActivez le pare-feu Windows, qui empêche par défaut la création d'instances DCOM. Activez l'affichage sécurisé et les notifications concernant le lancement d'objets COM dans les documents MS Office.
Système: Windows, Linux, macOS
Droits: utilisateur
Description: pour exécuter du code arbitraire, les attaquants peuvent utiliser des exploits qui utilisent des erreurs dans les programmes, les services, les logiciels du système d'exploitation ou même dans le noyau du système d'exploitation. Le but de l'exploitation des vulnérabilités des services distants après le compromis initial est de fournir un accès distant aux systèmes pour se déplacer sur le réseau.
Auparavant, l'adversaire devait identifier les systèmes présentant des vulnérabilités. Cela peut être fait en analysant les services réseau ou d'autres méthodes de
détection , telles que la recherche de logiciels vulnérables courants et de correctifs manquants, qui indique la présence de vulnérabilités, ou la recherche d'outils de sécurité utilisés pour détecter et bloquer l'exploitation à distance des vulnérabilités. Les serveurs sont très probablement une cible précieuse à utiliser lors de la navigation sur le réseau, mais les postes de travail sont également à risque s'ils fournissent à l'adversaire un avantage ou un accès à des ressources supplémentaires.
Des vulnérabilités sont connues dans les services partagés, tels que SMB, RDP, ainsi que dans les applications pouvant être utilisées sur des réseaux internes, tels que MySQL et les services de serveur Web. Selon les autorisations du service vulnérable, un adversaire peut en outre obtenir une élévation de privilèges en utilisant un mouvement latéral.
Conseils de
sécurité: segmentez les réseaux et les systèmes pour réduire l'accès aux systèmes et services critiques. Minimisez la disponibilité des services en accordant des droits uniquement à ceux qui en ont besoin. Vérifiez régulièrement votre réseau interne pour les nouveaux services potentiellement vulnérables. Minimisez les autorisations et l'accès aux comptes de service pour limiter la couverture.
Mettre à jour régulièrement le logiciel, mettre en œuvre le processus de gestion de l'installation des correctifs d'application sur les hôtes et serveurs internes. Développez des procédures d'analyse des cybermenaces pour déterminer les types et les niveaux de menaces pendant lesquels les exploits peuvent être utilisés contre votre organisation, y compris les exploits de vulnérabilités zero-day. Utilisez des bacs à sable pour empêcher l'ennemi d'effectuer des opérations en utilisant des vulnérabilités inconnues ou non corrigées. D'autres types de microsegmentation et de virtualisation d'applications peuvent également atténuer les effets de certains types d'exploits. Des logiciels de sécurité tels que Windows Defender Exploit Guard (WDEG) et Enhanced Mitigation Experience Toolkit (EMET), qui visent à trouver le comportement utilisé pendant l'exploitation des vulnérabilités, peuvent être utilisés pour se protéger contre les exploits.
La vérification de l'intégrité du flux de contrôle est un autre moyen d'identifier et de bloquer l'exploitation des vulnérabilités logicielles. De nombreuses fonctionnalités de sécurité répertoriées peuvent ne pas fonctionner pour tous les programmes et services; la compatibilité dépend de l'architecture et du fichier binaire de l'application cible.
Selon les outils disponibles, la détection par l'exploitant de l'exploitation des vulnérabilités peut être difficile. Les exploits logiciels peuvent ne pas toujours réussir ou conduire à un fonctionnement instable ou à une interruption anormale du processus attaqué. Faites attention aux indicateurs de compromis, par exemple, un comportement anormal des processus, l'apparition de fichiers suspects sur le disque, un trafic réseau inhabituel, des signes de lancement d'outils de détection et des injections de processus.
Système: Windows, macOS
Description: un adversaire peut utiliser la possibilité de créer de nouveaux scripts de connexion ou de modifier des scripts existants - des scripts qui sont exécutés chaque fois qu'un utilisateur ou un groupe d'utilisateurs se connecte au système. Si un attaquant a accès à un script de connexion sur un contrôleur de domaine, il peut le modifier pour exécuter du code sur tous les systèmes du domaine afin de se déplacer latéralement sur le réseau. Selon les autorisations des scripts de connexion, des informations d'identification locales ou administratives peuvent être requises.
Sur un Mac, les scripts d'ouverture de session (
Connexion / Déconnexion ), contrairement à l'élément de connexion, qui sont exécutés dans le contexte de l'utilisateur, peuvent être exécutés en tant que root.
Recommandations de sécurité: restriction des privilèges d'administrateur pour créer des scripts de connexion. Identification et blocage des logiciels potentiellement dangereux pouvant être utilisés pour modifier les scénarios de connexion. Windows AppLocker peut bloquer le lancement de programmes inconnus.
Système: Windows
Description: Pass the Hash (PtH) est une méthode d'authentification d'un utilisateur sans accès à son mot de passe sous une forme claire. La méthode consiste à contourner les étapes d'authentification standard qui nécessitent un mot de passe et à accéder directement à la partie de l'authentification qui utilise le hachage de mot de passe. Les hachages de mot de passe valides sont capturés par l'adversaire à l'aide des techniques d'accès aux informations d'identification, puis les hachages sont utilisés pour l'authentification PtH, qui peut être utilisée pour effectuer des actions sur des systèmes locaux ou distants.
Pour exécuter l'attaque Passer le hachage sur Windows 7 et supérieur avec la
mise à jour
KB2871997 installée,
vous devez disposer d'informations d'identification d'utilisateur de domaine valides ou de hachages administrateur (RID 500).
Recommandations de protection: surveillez les journaux système et de domaine pour identifier l'activité inhabituelle des connexions de compte. Empêchez l'accès aux comptes existants. Sur les systèmes Windows 7 et versions ultérieures, installez le correctif KB2871997 pour restreindre l'accès aux comptes dans les groupes d'administrateurs locaux par défaut.
Afin de minimiser la possibilité d'implémenter Pass the Hash, désactivez le démarrage à distance de l'UAC lorsqu'un utilisateur se connecte via le réseau en modifiant la clé correspondante dans le registre ou les stratégies de groupe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsLimitez la coïncidence des comptes dans différents systèmes afin d'empêcher leur compromission et de réduire la capacité de l'ennemi à se déplacer entre les systèmes. Assurez-vous que les informations d'identification intégrées et créées des administrateurs locaux ont des mots de passe uniques complexes. N'autorisez pas un utilisateur de domaine à être membre du groupe d'administrateurs local sur plusieurs systèmes. Afin de détecter les attaques Pass the Hash, un audit est effectué de tous les événements de connexion et d'utilisation des informations d'identification avec vérification des écarts (par exemple, un compte a été utilisé simultanément sur plusieurs systèmes). Les connexions inhabituelles associées à une activité suspecte (par exemple, la création et l'exécution de fichiers binaires) peuvent également indiquer une activité malveillante. Les événements d'authentification de type NTLM LogonType 3 (entrée réseau) qui ne sont pas liés au domaine et aux comptes non anonymes (utilisateurs avec SID S-1-5-7) doivent également être suspects.
Système: Windows
Description: Passer le ticket (PtT) est une méthode d'authentification de ticket Kerberos sans accès à un mot de passe de compte. L'authentification Kerberos peut être utilisée comme première étape pour déplacer un adversaire vers un système distant.
Pendant PtT, les tickets Kerberos valides pour les comptes existants sont capturés par l'adversaire à l'aide de
techniques de vidage des informations d'identification . Selon le niveau d'accès, des tickets de service utilisateur ou des tickets d'octroi de ticket (TGT) peuvent être obtenus. Un ticket de service permet d'accéder à une ressource spécifique, tandis qu'un TGT peut être utilisé pour demander des tickets de service à un service de ticket (TGS) pour accéder à toute ressource à laquelle un utilisateur a accès.
Le ticket Silver (faux TGS) peut être obtenu pour les services qui utilisent Kerberos comme mécanisme d'authentification et est utilisé pour générer des tickets pour l'accès à une ressource spécifique et au système dans lequel la ressource est située (par exemple, SharePoint).
Golden Ticket (ticket Kerberos pour un accès illimité aux ressources dans le contexte de tout utilisateur, y compris les utilisateurs inexistants) peut être obtenu en utilisant le hachage NTLM du compte de service de distribution de clés - KRBTGT, qui permet de générer TGT pour n'importe quel compte dans AD.
Recommandations de protection: surveillez les informations d'identification inhabituelles dans le système. Limitez la correspondance des informations d'identification entre les systèmes, évitant ainsi les dommages en cas de compromis. Assurez-vous que les comptes d'administrateur local ont des mots de passe complexes et uniques. Ne permettez pas à l'utilisateur d'être l'administrateur local de plusieurs systèmes. Limitez les autorisations de compte d'administrateur de domaine pour les contrôleurs de domaine et les serveurs restreints. Déléguez d'autres fonctions d'administrateur à des comptes individuels.
Pour contrer le Gold Ticket généré précédemment, réinitialisez le mot de passe du compte intégré KRBTGT deux fois, ce qui invalidera tous les Golden Tickets créés à l'aide du hachage de mot de passe KRBTGT et d'autres tickets Kerberos reçus de Golden Ticket.
À l'aide d'outils de mise en liste blanche des applications tels qu'Applocker ou
Stratégies de restriction logicielle, essayez d'identifier et de bloquer les logiciels inconnus ou malveillants qui peuvent être utilisés pour recevoir des tickets Kerberos et une authentification supplémentaire.
Afin de détecter les attaques PtT, nous vous recommandons d'auditer tous les événements d'authentification Kerberos et d'utiliser des informations d'identification avec une analyse des écarts. Les événements d'authentification à distance inhabituels qui sont en corrélation avec d'autres activités suspectes (telles que l'écriture et l'exécution de binaires) peuvent servir d'indicateur d'activité malveillante.
L'événement ID4769 est généré sur un contrôleur de domaine lors de l'utilisation de Golden Ticket après une double réinitialisation du mot de passe KRBTGT. Le code d'état 0x1F indique une vérification d'intégrité infructueuse du champ crypté et indique une tentative d'utilisation d'un ticket d'or non valide.
Système: Windows
Droits: utilisateurs de bureau à distance, utilisateurs
Description: Remote Desktop est une fonctionnalité typique des systèmes d'exploitation qui permet à un utilisateur de se connecter à une session interactive avec une interface graphique sur un ordinateur distant. Microsoft appelle sa mise en œuvre du protocole RDP comme
Remote Desktop Servoce (RDS) . Il existe d'autres implémentations et outils tiers qui fournissent un accès graphique à des services distants comme RDS. Les ennemis peuvent se connecter au système distant via RDP / RDS pour étendre l'accès si le service correspondant est activé et permet l'accès à l'attaquant avec des informations d'identification connues. Auparavant, l'adversaire utilisera probablement
des techniques d'accès aux informations d'identification pour obtenir des informations d'identification pouvant être utilisées avec RDP. Les adversaires peuvent également utiliser RDP en combinaison avec la technique d'abus d'accessibilité de Windows pour se sécuriser dans le système.
Un attaquant pourrait également tenter de détourner des sessions RDP impliquant des sessions distantes d'utilisateurs légitimes. Habituellement, lorsque vous essayez de voler une session, l'utilisateur reçoit une notification et une demande de confirmation, cependant, ayant des autorisations au niveau du système à l'aide de la console des services Terminal Server, vous pouvez intercepter la session sans fournir d'informations d'identification et confirmer l'utilisateur:
C:\Windows\system32\tscon.exe [ , ] .
Cela peut être fait à distance ou localement avec des sessions actives ou abandonnées. Cela peut également entraîner une escalade de privilèges en détournant une session d'administrateur de domaine ou un utilisateur plus privilégié. Tout ce qui précède peut être fait en utilisant les commandes Windows intégrées, ou la fonctionnalité correspondante peut être ajoutée aux outils de pentesting, par exemple
RedSnarf .
Recommandations de protection: désactivez le service RDP s'il n'est pas nécessaire, supprimez les comptes et les groupes inutiles du groupe d'
utilisateurs du Bureau à distance , activez la règle de blocage du trafic RDP entre les zones de sécurité du pare-feu. Vérifiez régulièrement les membres du groupe
Utilisateurs du Bureau à distance . Supprimez le groupe d'administrateurs de la liste des groupes autorisés à se connecter via RDP. Si l'accès à distance est requis, restreignez les droits de l'utilisateur distant. Utilisez
des passerelles de bureau à distance et une authentification multifacteur pour la connexion à distance. Ne laissez pas RDP accessible depuis Internet. Modifiez l'objet de stratégie de groupe en définissant des délais d'expiration et la durée maximale pendant laquelle une session distante peut être active. Modifiez l'objet de stratégie de groupe pour indiquer la durée maximale pendant laquelle la session distante déconnectée reste active sur le serveur hôte.
Étant donné que l'utilisation de RDP peut être un processus tout à fait légitime, les indicateurs d'activité malveillante peuvent être des modèles d'accès et des actions qui se produisent après une connexion à distance, par exemple, les utilisateurs se connectant à des systèmes auxquels ils n'accèdent pas ou ne se connectent généralement pas à plusieurs systèmes pendant temps relativement court. Afin d'empêcher l'interception des sessions RDP, il est recommandé de surveiller l'utilisation de tscon.exe et de créer des services qui utilisent l'un cmd.exe /kou l'autre cmd.exe /cdans leurs arguments.Système: Windows, Linux, macOSDroits: Description de l' utilisateur:Les fichiers peuvent être copiés d'un système à un autre pour déployer des outils ennemis ou d'autres fichiers pendant une opération. Les fichiers peuvent être copiés à partir d'un système externe contrôlé par un attaquant, via le canal C&C ou à l'aide d'autres outils utilisant des protocoles alternatifs, tels que FTP. Les fichiers peuvent également être copiés sur Mac et Linux à l'aide d'outils intégrés tels que scp, rsync, sftp. Les ennemis peuvent également copier des fichiers latéralement entre les systèmes internes des victimes pour prendre en charge le mouvement du réseau et l'exécution de commandes à distance. Cela peut être fait à l'aide de protocoles de partage de fichiers en connectant les ressources réseau via SMB ou en utilisant des connexions authentifiées aux partages d'administration Windows ou RDP.Recommandations de protection:L'utilisation de systèmes IDS / IPS qui utilisent des signatures pour identifier le trafic malveillant ou les transferts de données inhabituels via des outils et des protocoles bien connus tels que FTP, qui peuvent être utilisés pour réduire l'activité au niveau du réseau. Les signatures sont généralement utilisées pour détecter des indicateurs de protocole uniques et sont basées sur une technique d'obscurcissement spécifique utilisée par un attaquant ou un outil spécifique, et seront très probablement différentes pour différentes familles et versions de logiciels malveillants. Les attaquants sont susceptibles de modifier la signature des outils C2 ou de créer des protocoles de manière à éviter la détection par des outils de sécurité bien connus.Comme moyen de détection, il est recommandé de surveiller la création et le transfert de fichiers sur le réseau via SMB. Les processus inhabituels avec des connexions réseau externes qui créent des fichiers dans le système peuvent être suspects. L'utilisation atypique d'utilitaires comme FTP peut également être suspecte. Il est également recommandé d'analyser les données réseau pour les flux de données inhabituels, par exemple, le client envoie beaucoup plus de données qu'il n'en reçoit du serveur. Les processus réseau qui n'ont généralement pas de connectivité réseau sont également suspects. Examinez le contenu du paquet pour trouver des connexions qui ne correspondent pas au protocole et au port utilisés.Système: Windows, Linux, macOSDescription: les attaquants peuvent utiliser des comptes valides pour se connecter à un service conçu pour accepter les connexions réseau, telles que telnet, SSH ou VNC. Après cela, l'adversaire pourra effectuer des actions au nom de l'utilisateur qui s'est connecté au système. Considérations desécurité: Limitez le nombre de comptes que les services distants peuvent utiliser. Utilisez l'authentification multifacteur chaque fois que possible. Limitez les autorisations pour les comptes présentant un risque plus élevé de compromission, par exemple, configurez SSH afin que les utilisateurs ne puissent exécuter que certains programmes. Empêcher les techniques d'accès aux informations d'identificationcela peut permettre à un attaquant d'acquérir des informations d'identification valides. Reliez l'activité d'utilisation de connexion associée aux services distants à un comportement inhabituel ou à toute autre activité malveillante ou suspecte. Avant de tenter de faire progresser le réseau, un attaquant devra très probablement se renseigner sur l'environnement et les relations entre les systèmes à l'aide de techniques de détection .Système: WindowsDescription: La technique implique l'exécution d'un programme malveillant à l'aide de la fonction d'exécution automatique dans Windows. Pour tromper l'utilisateur, un fichier «légitime» peut être pré-modifié ou remplacé, puis copié sur un périphérique amovible par un attaquant. En outre, la charge utile peut être implémentée dans le micrologiciel du périphérique amovible ou via le programme de formatage de support initial.Recommandations de protection: désactivation des fonctionnalités d'exécution automatique dans Windows. Limitation de l'utilisation de périphériques amovibles au niveau de la stratégie de sécurité de l'organisation. Application d'un logiciel antivirus.Système: macOS, LinuxDescription:Secure Shell (SSH) est un outil d'accès à distance standard sur Linux et macOS qui permet à un utilisateur de se connecter à un autre système via un tunnel chiffré, généralement avec un mot de passe, un certificat ou des paires de clés de chiffrement asymétriques. Pour avancer dans le réseau à partir d'un hôte compromis, les adversaires peuvent tirer parti des relations de confiance établies avec d'autres systèmes via l'authentification par clé publique dans les sessions SSH actives en interceptant une connexion existante avec un autre système. Cela peut être dû à un compromis de l'agent SSH lui-même ou à l'accès au socket de l'agent. Si l'adversaire peut obtenir un accès root dans le système, une capture supplémentaire des sessions SSH sera une tâche triviale. La compromission d'un agent SSH intercepte également les informations d'identification SSH.La technique de détournement de SSH est différente de l'utilisation de la technique des services à distance car elle s'intègre dans une session SSH existante, plutôt que de créer une nouvelle session à l'aide de comptes valides.:Assurez-vous que les paires de clés SSH ont des mots de passe forts et évitez d'utiliser des technologies de stockage de clés telles que ssh-agent si elles ne sont pas correctement protégées. Assurez-vous que toutes les clés privées sont stockées en toute sécurité dans des endroits auxquels seul le propriétaire légitime peut accéder avec un mot de passe complexe et souvent changeant. Vérifiez que les autorisations de fichier sont correctes et renforcez le système pour empêcher que les privilèges root ne soient augmentés. N'autorisez pas l'accès à distance via SSH avec des privilèges root ou d'autres comptes privilégiés. Assurez-vous que le transfert d'agent est désactivé sur les systèmes où il n'est pas explicitement requis. Considérant que l'utilisation de SSH en soi peut être légitime, en fonction de l'environnement réseau et de la façon dont il est utilisé,les indicateurs d'utilisation suspecte ou malveillante de SSH peuvent être différents modèles d'accès et de comportement ultérieur. Par exemple, les comptes qui se connectent à des systèmes auxquels ils n’accèdent ou ne se connectent généralement pas à plusieurs systèmes pendant une courte période. Il est également recommandé de suivre les fichiers socket des agents SSH des utilisateurs qui sont utilisés par différents utilisateurs.Système: WindowsDescription:Un adversaire peut placer du contenu malveillant sur un site Web qui possède un répertoire Webroot public ou un autre répertoire public pour servir du contenu Web dans le segment interne du réseau, puis accéder à ce contenu à l'aide d'un navigateur Web pour forcer le serveur à l'exécuter. Habituellement, le contenu malveillant est lancé dans le contexte du processus du serveur Web, souvent, selon la configuration du serveur Web, cela se traduit par des privilèges système ou administratifs locaux. Un tel mécanisme de partage et d'exécution de code à distance peut être utilisé pour passer à un système exécutant un serveur Web. Par exemple, un serveur Web exécutant PHP avec une racine Web publique peut permettre à un attaquant de télécharger des outils RAT sur le système d'exploitation du serveur Web lorsqu'il visite une page spécifique.Recommandations de protection:Les réseaux dans lesquels les utilisateurs sont autorisés à effectuer un développement ouvert, des tests de contenu et à lancer leurs propres serveurs Web sont particulièrement vulnérables si les systèmes et les serveurs Web ne sont pas correctement protégés: l'utilisation de comptes privilégiés est illimitée, l'accès aux ressources réseau est possible sans authentification, et non isolation réseau du réseau / système. Assurez-vous que les autorisations pour les répertoires accessibles via le serveur Web sont correctes. Refuser l'accès à distance au répertoire racine du site (racine Web) ou à d'autres répertoires utilisés pour fournir du contenu Web. Désactivez l'exécution dans les répertoires webroot. Assurez-vous que les autorisations du processus de serveur Web sont uniquement celles qui sont requises. N'utilisez pas de comptes intégrés; créez plutôt des comptes spécifiques pour limiter les accès inutiles ou pour croiser les autorisations sur plusieurs systèmes.Utilisez la surveillance des processus pour déterminer quand les fichiers ont été écrits sur un serveur Web par un processus qui n'est pas normal pour un serveur Web ou quand les fichiers ont été écrits en dehors des périodes administratives. Utilisez la surveillance des processus pour déterminer les processus normaux et détecter ensuite les processus anormaux qui ne s'exécutent généralement pas sur le serveur Web.Système: Droits Windows :Description de l' utilisateur : Le contenu des lecteurs de réseau public et autres stockages peut être corrompu en ajoutant des programmes malveillants, des scripts ou du code d'exploitation aux fichiers hébergés. Dès que l'utilisateur ouvre le contenu corrompu, la partie malveillante peut être exécutée pour lancer le code malveillant sur le système distant. Les adversaires peuvent utiliser la méthode ci-dessus pour l'avancement latéral.Il existe un autre type de technique qui utilise plusieurs autres méthodes de propagation de logiciels malveillants lorsque les utilisateurs accèdent à un répertoire réseau partagé. Son essence est de modifier les raccourcis ( Modification des raccourcis) répertoires (.lnk) utilisant le masquage pour que les étiquettes ressemblent à de vrais répertoires qui étaient auparavant cachés. Malicious .lnk possède une commande intégrée qui exécute un fichier malveillant caché, puis ouvre le répertoire réel attendu par l'utilisateur. La mise en œuvre de cette technique dans les répertoires réseau fréquemment utilisés peut entraîner de fréquentes infections répétées et, par conséquent, un attaquant bénéficiant d'un large accès aux systèmes et, éventuellement, à de nouveaux comptes plus privilégiés.Recommandations de protection:Protégez les dossiers partagés en minimisant le nombre d'utilisateurs avec des autorisations d'écriture. Utilisez des utilitaires qui peuvent détecter ou empêcher les exploits au premier signe, tels que Microsoft Mitigation Experience Toolkit (EMET). Réduisez le risque potentiel de promotion latérale en utilisant des services de gestion de documents et de collaboration basés sur le Web qui n'utilisent pas le partage de fichiers et de répertoires.Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent être utilisés pour corrompre le contenu à l'aide d'outils tels que AppLocker ou les politiques de restriction logicielle .Une analyse fréquente des répertoires réseau partagés à la recherche de fichiers malveillants, de fichiers .LNK masqués et d'autres types de fichiers qui ne sont pas typiques d'un répertoire spécifique est recommandée. La suspicion doit être causée par des processus qui écrivent ou écrasent de nombreux fichiers dans un répertoire réseau commun, ainsi que par des processus exécutés à partir d'un support amovible.Système: Windows, Linux, macOSDroits: utilisateur, administrateur,description du système : des logiciels tiers et des systèmes de déploiement de logiciels (SCCM, VNC, HBSS, Altris, etc.) utilisés sur le réseau à des fins administratives peuvent être utilisés par un attaquant pour exécuter à distance code sur tous les hôtes connectés à ces systèmes. Les droits requis pour implémenter cette technique dépendent de la configuration particulière du système. Les informations d'identification locales peuvent être suffisantes pour accéder au serveur de déploiement de logiciels; cependant, un compte administrateur peut être requis pour démarrer le déploiement de logiciels.Recommandations de protection:Vérifiez le niveau de sécurité de vos systèmes de déploiement de logiciels. Assurez-vous que l'accès aux systèmes de gestion de logiciels est limité, contrôlé et protégé. Utilisez strictement les politiques de pré-approbation obligatoires pour le déploiement de logiciels à distance. Donner accès aux systèmes de déploiement logiciel à un nombre limité d'administrateurs, assurer l'isolement du système de déploiement logiciel. Assurez-vous que les informations d'identification pour accéder au système de déploiement de logiciels sont uniques et ne sont pas utilisées dans d'autres services sur le réseau d'entreprise. Si le système de déploiement logiciel est configuré pour exécuter uniquement des fichiers binaires signés, vérifiez que les certificats approuvés ne sont pas stockés dans le système de déploiement logiciel lui-même, mais se trouvent sur un système inaccessible à distance.Système: Droits Windows : UtilisateurDescription: Les systèmes Windows ont des dossiers réseau cachés qui ne sont accessibles qu'aux administrateurs et permettent de copier à distance des fichiers et d'autres fonctions administratives. Exemples de partages administrateur Windows: C $, ADMIN $, IPC $.Les opposants peuvent utiliser cette technique en combinaison avec des comptes de niveau administrateur existants pour accéder à distance au système via le bloc de messege serveur (SMB), interagir avec des systèmes utilisant RPC, transférer des fichiers et exécuter des fichiers binaires migrés à l'aide de techniques d' exécution. Des exemples de méthodes d'exécution basées sur des sessions authentifiées via SMB / RPC sont les tâches planifiées, les services de démarrage et WMI. Les adversaires peuvent également utiliser des hachages NTLM pour accéder aux partages administrateur via Pass-the-Hash. La commande net use, avec des informations d'identification valides, peut être utilisée pour connecter le système distant aux partages d'administration Windows.Recommandations de protection: n'utilisez pas les mêmes mots de passe pour les comptes d'administrateur local sur différents systèmes. Assurez-vous que les mots de passe sont complexes et uniques afin qu'ils ne puissent pas être devinés ou piratés. Désactivez la connexion à distance au compte d'administrateur local intégré. N'autorisez pas les comptes d'utilisateurs à être membres du groupe d'administrateurs locaux de plusieurs systèmes.Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent être utilisés pour faire fonctionner les partages SMB et Admin à l'aide d'AppLocker ou de stratégies de restriction logicielle .Fournir une collecte et un stockage centralisés des informations de connexion. Le transfert d'événements Windows vous permet de collecter des données sur l'utilisation réussie / infructueuse des comptes qui pourraient être utilisés pour naviguer sur le réseau. Suivez les actions des utilisateurs distants qui se connectent aux partages Admin. Suivez l'utilisation des outils et des commandes utilisés pour vous connecter aux partages réseau, tels que l'utilitaire Net, ou recherchez des systèmes accessibles à distance.Système: droits Windows : utilisateur, administrateurDescription: WinRM est le nom d'un service et d'un protocole qui permet à l'utilisateur d'interagir à distance avec le système (par exemple, démarrer un fichier, modifier le registre, modifier un service. Pour démarrer, utilisez la commande winrm et d'autres programmes, tels que PowerShell.Recommandations de sécurité: désactivez le service WinRM, si nécessaire, isolez l'infrastructure avec WinRM avec des comptes et des autorisations distincts Suivez les instructions de WinRM pour définir les méthodes d'authentification et utiliser les pare-feu ho cent pour restreindre l'accès à WinRM et autoriser l'accès uniquement à partir de certains appareils.